Menu

Onlinebetrug

Onlinebetrug hat viele Facetten. Einerseits werden immer wieder betrügerische Nachrichten versandt, andererseits werden Webseiten gefälscht. In den meisten Fällen geht es darum, Passwörter, PINs oder andere sensible Daten abzugreifen, Schadprogramme zu verbreiten oder sich schlussendlich finanziell zu bereichern.

Was ist Spam?

Wer einen E-Mail-Account besitzt, hat sicherlich schon einmal eine unerwünschte Nachricht erhalten. Der Begriff Spam-Nachrichten wird als Sammelbegriff für alle Formen von massenhaft versandten, unerwünschten E-Mails beziehungsweise elektronischen Kettenbriefen oder Werbeposts in sozialen Netzwerken genutzt. Mitunter wird Spam auch als Junk bezeichnet – was im Englischen so viel wie Plunder oder Ramsch bedeutet.

Beispiele für Spam sind:

  • Scam: Wird auch Vorschussbetrug genannt. Solche Mails versprechen meist den schnellen Weg zum großen Geld. Nur müssen Sie zuvor einen vergleichsweise kleinen Betrag, zum Beispiel für angebliche Anwaltsgebühren, bezahlen.
  • Hoax : Ein Hoax ist eine Falschmeldung oder ein schlechter Scherz – zumeist mit der Aufforderung verbunden, die Mail an andere Empfänger weiterzuleiten.
  • Phishing : Mit dieser Spam-Variante versuchen Internetkriminelle, Ihnen persönliche Informationen zu entlocken – etwa die Zugangsdaten zu Ihrem Bankkonto.

Was ist Phishing?

Phishing setzt sich aus den englischen Wörtern „password“ und „fishing“ zusammen, was frei übersetzt so viel bedeutet wie „nach Passwörtern angeln“. Das Prinzip dieses Online-Betrugsversuchs: Cyberkriminelle schreiben (gefälschte) Nachrichten und verlinken auf gefälschte Webseiten, um Nutzer/-innen vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern zu entlocken. Allzu oft wirken diese Mails und Seiten überzeugend echt, da das Logo, die Farbgebung und Schriftarten gezielt an eine bekannte Firma oder Organisation erinnern und teils sogar korrekte Anreden in den E-Mails verwendet werden.

Wie können Sie Phishing erkennen und abwehren?

  • Absender gefälscht? Ob eine Adresse gefälscht ist, kann man oftmals im Header, also der Kopfzeile einer Mail, erkennen. Lassen Sie sich nicht nur den Namen, sondern die ganze E-Mail-Adresse anzeigen. Schauen Sie genau hin, denn manchmal weist nur ein fehlender Buchstabe oder Zahlendreher darauf hin, dass die Nachricht gar nicht von einem bekannten Unternehmen oder Kontakt kommt.
  • Unpersönliche Anrede? Steht da Ihr Name oder ist die Anrede unpersönlich gehalten („Lieber Kunde der x-Bank!“)? Letzteres ist ein Indiz für eine Sammel- oder gar Phishing-Mail.
  • Dringender Handlungsbedarf? Sätze wie „Wenn Sie nicht sofort Ihre Daten aktualisieren, gehen diese verloren.“ sind in den meisten Fällen unplausibel.
  • Drohungen? „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren.“ – Solche Aussagen sollen Sie zu schnellen, unüberlegten Handlungen verführen.
  • Abfrage vertraulicher Daten? Vertrauliche Daten (wie etwa PINs und TANs) werden von keinem Dienstleister per E-Mail abgefragt.
  • Gefälschter Link? Seien Sie skeptisch bei eingefügten Links. Wenn Sie mit der Maus über die Adresse fahren – ohne zu klicken –, können Sie in den meisten Fällen sehen, welche Zieladresse angegeben wird. Diese Links können zum Download von Schadprogrammen führen oder auf gefälschte Webseiten weiterleiten. Entspricht der Link der echten Webadresse der genannten Organisation? Wenn Sie sich nicht sicher sind, versuchen Sie die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link anzuklicken, sondern indem Sie die Adresse der Organisation in die Adresszeile des Browsers eintippen.

Was ist Social Engineering?

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten ausgenutzt, um Personen geschickt zu manipulieren. Der Angreifer oder die Angreiferin verleitet das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren. Dies kann sowohl per Telefon als auch per E-Mail geschehen.

Privat und beruflich ausgerichtete soziale Netzwerke bieten Täter/-innen eine einfache Möglichkeit, im Vorfeld des Angriffs eine Vielzahl von Hintergrundinformationen über Personen zu sammeln und gegebenenfalls zu verknüpfen. Ähnlich wie gestohlene Kommunikationsverläufe können diese Informationen genutzt werden, um Angriffe gezielter auszurichten. Für Täter oder Täterinnen wird es beispielsweise leichter, eine vertrauliche Beziehung zum Opfer aufzubauen – etwa durch den Verweis auf Hobbys, Freund/-innen oder Kolleg/-innen. Diese kann in der Folge dann zu unzulässigen Handlungen verleiten.

Wie können Sie das Risiko von Social Engineering minimieren?

  • Datensparsamkeit: Gehen Sie verantwortungsvoll mit sozialen Netzwerken um. Überlegen Sie genau, welche persönlichen und beruflichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
  • Vertrauliche Daten zurückhalten: Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Preisgabe von vertraulichen Informationen auf.
  • Im Zweifel anrufen: Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf beim Absender oder bei der Absenderin, dass es sich um eine legitime E-Mail handelt.

Wie können Sie generell schädliche Nachrichten abwehren?

  • Löschen: Wenn eine E-Mail eines Unbekannten mit einem oder mehreren der oben genannten Merkmale eintrifft, sollte diese sofort gelöscht werden. Sollte es sich doch um eine „echte“ E-Mail halten, wird sich derjenige oder diejenige erneut bei Ihnen melden.
  • Telefonisch nachfragen: Wenn Sie die Mail eines bekannten Kontakts bekommen haben, diese aber nicht plausibel erscheint, fragen Sie telefonisch bei ihm nach. Nutzen Sie hierfür jedoch nicht die Telefonnummer aus der Signatur der E-Mail.
  • Nicht klicken: Klicken Sie keinesfalls auf Links oder Anhänge.
  • Generell: Nutzen Sie Spamfilter und Virenschutzprogramme und halten Sie Ihr Betriebssystem und Ihre Programme aktuell.

Weiterführende Informationen:

Was sind Fake-Shops?

Fake-Shops bezeichnen gefälschte Internet-Shops, hinter denen sich Betrüger beziehungsweise Betrügerinnen verbergen. Wer dort bestellt, bekommt nach geleisteter Zahlung entweder ein fehlerhaftes Produkt oder keine Lieferung. In vielen Fällen sehen Fake-Shops aus wie echte Onlineshops und sind nur schwer zu erkennen. Ein Indikator ist oftmals ein auffallend niedriger Preis.

Wie können Sie Fake-Shops erkennen?

  • Internetadresse überprüfen: Es handelt sich häufig um identisch wirkende Kopien bekannter Onlineshops unter leicht veränderter Adresse. Achten Sie deswegen auf die korrekte Schreibweise der URL.
  • Erst Ware, dann Geld: Vor allem wenn Sie sich unsicher sind, sollten Sie darauf achten, erst nach Erhalt der Ware den Rechnungsbetrag zu zahlen. Mitunter bieten Fake-Shops zahlreiche Bezahlarten an, die jedoch kurz vor Kaufabschluss aufgrund „technischer Probleme“ nicht zur Verfügung stehen. 
  • Skeptisch bleiben: Gütesiegel, Impressum, AGB oder Kundenbewertungen vermitteln ein Gefühl der Sicherheit, können aber gefälscht sein. Das Trusted-Shop-Siegel ist beispielsweise nur dann echt, wenn es mit der Zertifizierungsseite verlinkt ist. Darüber hinaus kann im Zweifel im Impressum der Verweis auf das Handelsregister mit entsprechender Nummer geprüft werden.

Weiterführende Informationen